Andmekaitse Inspektsioon: Asper Biogene`i andmeleke on meie ajaloo suurim, tagajärgi oleks saanud leevendada 10 000 inimese terviseandmete eest küsitakse lunaraha
Geneetilise testimisega tegeleva ettevõtte Asper Biogene andmebaasist laaditi ebaseaduslikult alla ligi 10 000 inimese terviseandmed, kelle seas on kõige rohkem Ida-Tallinna Keskhaigla, Tartu Ülikooli Kliinikumi ja Elite Kliiniku patsiente. Kokku puudutab leke ligi 40 tervishoiuteenuse osutajat ja muud ettevõtet.
Avaldatud
Viimati uuendatud
Lõuna ringkonnaprokuratuuri vanemprokurör Kretel Tamm ütles täna pressikonverentsil, et kübarrünnak oli hästi läbimõeldud. „Tavaliselt on eesmärk teenida raha ja ka sel juhul on esitatud lunaraha nõue,“ märkis prokurör.
Kriminaalmenetluse algusest siiani on tehtud erinevaid kiireloomulisi toiminguid, edasi jätkuvad toimingud, mis väljuvad Tamme sõnul Eesti raamidest. „Teeme kindlasti koostööd partneritega välisriikidest. Meil on töös erinevad uurimisversioonid, mille kallal me töötame.“
Lõuna prefektuuri kriminaalbüroo juht Rain Vosman ütles, et 17. novembril pärast info laekumist alustas politsei kriminaalmenetlusega. „Sellised küberkuriteod on üldjuhul väga suured ja rahvusvahelised. Politsei on asunud tõendeid koguma eesmärgiga tuvastada kurjategija ja koostöös prokuratuuriga kurjategija kohtu ette anda,“ rääkis Vosman, kelle sõnul käitus ettevõte Asper Biogene keerulises olukorras võimalikult parimal viisil.
„Kurjategija on esitanud väljapressimise vormis nõude. Ettevõte ei ole sellele reageerinud, ei ole läinud kurjategijaga dialoogi. Tänaseks on ettevõte serveri turvaaugu lappinud. Tehtud on rahaline nõue. Ähvardati, et kui seda teatud ajaks ei tasuta, siis need andmed, mis on kurjategija käes, avalikustatakse ja sealhulgas kahjustatakse ettevõte mainet,“ rääkis Vosman ja lisas, et ükski ettevõte ei tohi alluda sellistel juhtudel kurjategija provokatsioonile, vaid tuleb kohe informeerida politseid.
Andmekaitse Inspektsiooni peadirektor Pille Lehis ütles, et tegemist on andmekaitse inspektsiooni ajaloo ja praktika kõige ulatuslikuma andmelekkega võttes arvesse andmete tundlikkust, hulka ja puudutatud isikute ringi. „Oleme alustanud järelvalvemenetlust Asper Biogene`i osas. Siin ongi oluline märkida, et meie fookus on suunatud sellele, miks see juhtum aset leidis, kuidas see võimalikuks sai.“
Lehis lisas, et andmelekkega on puudutatud ligi 10 000 inimest, samuti ligi 40 tervishoiuteenuse osutajat ja muud ettevõtet, kes olid tellinud inimestele tervisuuringuid, näiteks isadus-, viljatus- ja muid erinevaid geeniuuringuid. Kõige rohkem on puudutatud patsiente Ida-Tallinna Keskhaiglast, Tartu Ülikooli Kliinikumist ja Elite Kliinikust. Lisaks Eesti inimestele on puudutatud ligi 56 välisriigi inimest ja nende andmeid.
Lehise sõnul saadavad alates tänasest tervishoiuteenuse osutajad ja teised teenuse pakkujad välja personaalseid teavitusi neile, keda see puudutab. Lisaks pannakse vastav teavitus üles ka teenuseosutajate veebilehtedele. Lisainfo saamiseks saab inimene pöörduda oma teenuseosutaja poole ja isikustatud infot tuleb küsida teenuseosutaja käest, mitte Asper Biogene`i käest. Andmeid tuleb küsida enda kohta digitaalselt allkirjastatud avaldusega.
Tervishoiuteenuste osutajad vastutavad samuti
Lehis ütles, et järelvalvemenetluse esimesed indikatsioonid näitavad, et juhtumi tagajärgi oleks saanud inimestele leevendada, kui isikuandmed oleksid olnud pseudonüümitud ja krüpteeritud ning läbi oleks viidud korralisi turvatestimisi. „Kahjuks näitab juhtunu, et küberruumis valitsevatesse ohtudesse ei suhtuta jätkuvalt täie tõsidusega. Organisatsioonide suunal edukalt sooritatud väliseid ründeid ja nendega kaasnevaid tagajärgi ei tohi võtta kui paratamatust. Iga andmetöötleja kohustus on muuhulgas tagada andmete terviklikkus ja konfidentsiaalsus. Andmete taga on pärisinimesed, päriselud, mis võivad tugevalt saada mõjutatud sellistes olukordades,“ rõhutas Lehis andmekaitse olulisust.
„Nii mõnegi tervishoiuteenuse osutaja infosüsteemid ei pruugi olla täna kaasajastatud ja vajaksid investeeringuid. Kahjuks ei ole paljude asutuste ja ettevõtete poolt peetud kulutusi andmete kaitsele piisavaks prioriteetseks. Viimane aeg on selle vajadusest aru saada ja prioriteediks seada. Ka selle menetluse käigus on oluline vaadata lisaks Asper Biogene`ile ka tervishoiuteenuse osutajaid, sest neil on kohustus veenduda, et nende lepingupartnerite andmete töötlemine oleks turvaline ja nemad on tegelikult siinkohal vastutavad töötlejad.“
Lehis pani inimestele südamele, et tasub olla väga tähelepanelik saabuvate e-kirjade suhtes, eriti kirjade suhtes, kus esitatakse nende geeniuuringute tulemusi. „Ärge sooritage täiendavaid tegevusi enne, kui olete veendunud kirjade päritolus ja tõesuses. Ärge klikage ühelegi lingile ja soovitame kontakteeruda enda terviseteenuse osutajaga, et veenduda kirja tõesuses.“